Bitdefender wykrył nową kampanię cyberszpiegowską

Bitdefender zidentyfikował operację szpiegowską na podstawie analizy plików binarnych podatnych na ataki typu sideloading, czyli ładowanie boczne. Termin ten odnosi się do instalacji aplikacji pochodzących z nieznanych, niezaufanych źródeł. Według Bitdefendera istnieje bardzo duże prawdopodobieństwo, iż akcję przeprowadziła chińska grupa APT o nazwie BackdoorDiplomacy. Działa ona co najmniej od 2017 roku i znana jest z ataków przeprowadzonych na instytucje w Bliskim Wchodzie i Afryce, a także w Stanach Zjednoczonych.

Wektor infekcji wskazuje na zaatakowanie serwera Exchange, wykorzystującego ProxyShell. Jak wynika z dowodów kryminalistycznych atak rozpoczął się w sierpniu 2021 roku od wysłania wiadomości e-mail, aczkolwiek nie był to tradycyjny phishing. Złośliwy ładunek został dołączony do załącznika, a po odebraniu i przetworzeniu informacji przez serwer Exchange wykorzystał lukę i dostał się do sieci (bez kliknięcia załącznika lub nawet wyświetlenia wiadomości e-mail).

Napastnicy wdrożyli w organizacji narzędzie NPS proxy i backdoora IRAFAU.

Począwszy od lutego 2022 r. cyberprzestępcy używali innego narzędzia – backdoora Quarian, wraz z kilkoma innymi skanerami i narzędziami proxy/tunelowania.  Ślady ujawniają użycie keyloggerów i narzędzi do eksfiltracji, które łączą tę kampanię z operacją cyberszpiegowską.

Jak się bronić przez APT?

Zdaniem specjalistów z Bitdefendera organizacje chcące powstrzymać grupy APT powinny zacząć swoje działania od zmniejszenia powierzchni ataku poprzez zarządzanie poprawkami, nie tylko dla systemu Windows, ale również wszystkich aplikacji i usług dostępnych w Internecie oraz wykrywaniu błędnych konfiguracji. Kolejnym krokiem jest zastosowanie rozwiązań wykorzystujących wiele warstw zabezpieczeń, w tym reputację adresów IP/adresów URL dla wszystkich punktów końcowych oraz ochronę przed atakami bezplikowymi.

Szczególne znacznie ma wdrożenie mechanizmów reputacji adresów IP, domen i adresów URL. Według analizy zawartej w raporcie Data Breach Investigations Report 2022, zastosowanie takich rozwiązań sprawia, że zaledwie 0,4 proc. ataków próbujących wykorzystać lukę umożliwiającą zdalne wykonanie kodu (RCE), pozostało niezauważonych.

Źródła: marken.com.pl; bitdefender.pl